一种实现密码机红黑隔离的方法与流程

本发明涉及网络，特别涉及一种实现密码机红黑隔离的方法。

背景技术：

1、随着现代网络技术的迅猛发展，网络互联已经成为一种不可阻挡的潮流，但这种互联方式极易受到各种攻击，导致对内部网络的非法访问和信息泄露。如何保证用户的信息在网络安全的传递，不被怀有恶意的人加以窃听、破坏，是目前安全界面临的一个重要的课题和发展方向。

2、ipsec网络密码机是基于vpn技术而实现的一种网络安全设备。它指的是以公用开放的网络(如internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(privatenetwork)性能的网络服务技术。它采用专用硬件来加密和保护局域网数据在公共网络上传输的安全，因此具有极高的安全强度和网络性。

3、但是，目前通用的ipsec网络密码机在内外网的数据交换通常在一台机器上完成的，这样对数据的安全带来很大的隐患。因此一种更加安全可靠的，从硬件层面完成内外网数据隔离的方法很有必要。

4、基于上述情况，本发明提出了一种实现密码机红黑隔离的方法。

技术实现思路

1、本发明为了弥补现有技术的缺陷，提供了一种简单高效的实现密码机红黑隔离的方法。

2、本发明是通过如下技术方案实现的：

3、一种实现密码机红黑隔离的方法，其特征在于：当内网数据往外网发送数据时，先要经过红区网络过滤转发器，对内网数据进行数据过滤拆分，然后送往独立的加密区进行数据加密；

4、加密完成后，先将得到的加密数据送往黑区网络过滤转发器，再将数据转发到外网，从而实现外网数据和内网数据的物理隔离。

5、该实现密码机红黑隔离的装置，采用单星网络互联拓扑结构，包括内网通信单元、内外网通信单元，管理控制单元和密码处理单元；

6、所述内网通信单元和外网通信单元分别连接内网和外网，中间通过管理控制单元和密码处理单元实现完全隔离，没有通路，进一步提高内网安全性；

7、所述密码处理单元作为独立的加密区对内网数据进行数据加密。

8、所述内网通信单元和外网通信单元负责对网络数据包进行格式检查、分片重组和重新组包，并具有防攻击能力，能够抵御针对其的网络攻击行为；

9、所述内网通信单元和外网通信单元通过rapidio接口与密码处理单元进行通信，将网口收到的经过防攻击过滤的网络数据包转换为rapidio数据包发给密码处理单元；并接收密码处理单元发送过来的rapidio数据包，将其解析为正常的网络数据包，交由前端设备进行下一步处理。

10、所述内网通信单元和外网通信单元之间的进行数据传输时，通过点到点的高速串行数据流serdes/rapid io实现；每个数据模块都拥有各自的专用链接，并支持不同通路同时传输。

11、所述内网通信单元和外网通信单元与密码处理单元之间的最大传输带宽不小于20gbps。

12、rapid io，即基于地址映射的高速传输协议和接口，较网络等传输协议，其osi模型更加简化，传输效率更高。

13、所述管理控制单元包括通信管理模块和数据包处理模块，分别负责实现与密码处理单元通信和数据包处理；

14、所述通信管理模块负责实现rapidio数据的发送和接收，具体步骤如下：

15、步骤s1、数据包处理模块将从内网通信单元收到的网络数据包转换为rapidio格式的数据包，通过rapidio接口发送给密码处理单元；

16、步骤s2、通过rapidio接口从密码处理单元获取rapidio格式的数据包，将其解析为正常的网络数据包，交由数据包处理模块发送到外网通信单元。

17、所述数据包处理模块负责实现数据分包、数据组包与tcp/udp校验码计算，具体步骤如下：

18、步骤s1、从内网通信单元接收数据包，并判断接收到的数据包是否为分片数据包：

19、如果接收到的时非分片数据包，则直接将数据包交由与密码处理单元进行处理；

20、如果接收到的是分片数据包，则不直接发送，而是先进行缓存，直到最后一片分片数据包到达后，将众多分片数据重组为一个完整的网络数据包，然后交由与密码处理单元进行下一步处理；

21、步骤s2、将从密码处理单元接收的网络数据包的实际ip报文长度与最大传输单元mtu(maximum transmission unit)进行对比；

22、若实际ip报文长度大于最大传输单元mtu，则对网络数据包进行分片，将其分为若干分片数据包，使每个分片数据包中ip报文长度不大于最大传输单元mtu，并将分片数据包交由外网通信单元进行发送；

23、步骤s3、若对从密码处理单元接收到的网络数据包为tcp数据报文或udp数据报文，则重新计算校验码checksum，以保证对于来自密码处理单元加密后的数据包能正常传输至外网网络。

24、本发明的有益效果是：该实现密码机红黑隔离的方法，通过在内网通信单元和外网通信单元之间设置管理控制单元和密码处理单元，从硬件层面实现了外网数据和内网数据的物理隔离，进一步保障了内网安全性。

技术特征：

1.一种实现密码机红黑隔离的方法，其特征在于：当内网数据往外网发送数据时，先要经过红区网络过滤转发器，对内网数据进行数据过滤拆分，然后送往独立的加密区进行数据加密；

2.一种实现密码机红黑隔离的装置，其特征在于：采用单星网络互联拓扑结构，包括内网通信单元、内外网通信单元，管理控制单元和密码处理单元；

3.根据权利要求2所述的实现密码机红黑隔离的装置，其特征在于：所述内网通信单元和外网通信单元负责对网络数据包进行格式检查、分片重组和重新组包，并具有防攻击能力，能够抵御针对其的网络攻击行为；

4.根据权利要求3所述的实现密码机红黑隔离的装置，其特征在于：所述内网通信单元和外网通信单元之间的进行数据传输时，通过点到点的高速串行数据流serdes/rapidio实现；每个数据模块都拥有各自的专用链接，并支持不同通路同时传输。

5.根据权利要求4所述的实现密码机红黑隔离的装置，其特征在于：所述内网通信单元和外网通信单元与密码处理单元之间的最大传输带宽不小于20gbps。

6.根据权利要求3所述的实现密码机红黑隔离的装置，其特征在于：所述管理控制单元包括通信管理模块和数据包处理模块，分别负责实现与密码处理单元通信和数据包处理。

7.根据权利要求6所述的实现密码机红黑隔离的装置，其特征在于：所述通信管理模块负责实现rapidio数据的发送和接收，具体步骤如下：

8.根据权利要求6所述的实现密码机红黑隔离的装置，其特征在于：所述数据包处理模块负责实现数据分包、数据组包与tcp/udp校验码计算，具体步骤如下：

技术总结
本发明特别涉及一种实现密码机红黑隔离的方法。该实现密码机红黑隔离的方法，当内网数据往外网发送数据时，先要经过红区网络过滤转发器，对内网数据进行数据过滤拆分，然后送往独立的加密区进行数据加密；加密完成后，先将得到的加密数据送往黑区网络过滤转发器，再将数据转发到外网，从而实现外网数据和内网数据的物理隔离。该实现密码机红黑隔离的方法，通过在内网通信单元和外网通信单元之间设置管理控制单元和密码处理单元，从硬件层面实现了外网数据和内网数据的物理隔离，进一步保障了内网安全性。

技术研发人员：王宗训,李文通,常双举
受保护的技术使用者：西安超越申泰信息科技有限公司
技术研发日：
技术公布日：2024/3/17